KR100983796B1 - 통신 시스템에서 보안 연계를 구축하고 핸드오프 인증을 수행하기 위한 방법 및 장치 - Google Patents

통신 시스템에서 보안 연계를 구축하고 핸드오프 인증을 수행하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR100983796B1
KR100983796B1 KR1020080087483A KR20080087483A KR100983796B1 KR 100983796 B1 KR100983796 B1 KR 100983796B1 KR 1020080087483 A KR1020080087483 A KR 1020080087483A KR 20080087483 A KR20080087483 A KR 20080087483A KR 100983796 B1 KR100983796 B1 KR 100983796B1
Authority
KR
South Korea
Prior art keywords
key
station
relay station
base station
mobile
Prior art date
Application number
KR1020080087483A
Other languages
English (en)
Other versions
KR20090024655A (ko
Inventor
주이-탕 왕
쭈-밍 린
Original Assignee
인더스트리얼 테크놀로지 리서치 인스티튜트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US12/203,652 external-priority patent/US20090271626A1/en
Application filed by 인더스트리얼 테크놀로지 리서치 인스티튜트 filed Critical 인더스트리얼 테크놀로지 리서치 인스티튜트
Publication of KR20090024655A publication Critical patent/KR20090024655A/ko
Application granted granted Critical
Publication of KR100983796B1 publication Critical patent/KR100983796B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Radio Relay Systems (AREA)

Abstract

통신 네트워크에서 기지국, 중계국 및 이동국 간에 보안 통신을 제공하는 보안 통신 제공 방법은 중계국이 이동국으로부터 비요구 보안 키를 수신하는 단계; 중계국이 이동국으로부터 신호 메시지를 수신하는 단계; 및 중계국이 보안 키를 이용하여 이동국을 인증하는 단계를 포함한다. 통신 네트워크에서 기지국, 중계국 및 이동국 간에 보안 통신을 제공하는 보안 통신 제공 방법은 중계국이 이동국으로부터 신호 메시지를 수신하는 단계; 중계국이 신호 메시지를 수신한 다음 기지국으로 보안 키 요구를 전송하는 단계; 중계국이 사전 전송된 보안 키 요구에 응답하여 기지국으로부터 보안 키를 수신하는 단계; 및 중계국이 수신된 보안 키를 이용하여 이동국을 인증하는 단계를 포함한다.
Figure R1020080087483
통신 네트워크, 보안 통신, 보안 키, 이동국, 중계국, 기지국

Description

통신 시스템에서 보안 연계를 구축하고 핸드오프 인증을 수행하기 위한 방법 및 장치{METHODS AND DEVICES FOR ESTABLISHING SECURITY ASSOCIATIONS AND PERFORMING HANDOFF AUTHENTICATION IN COMMUNICATION SYSTEMS}
본 출원은 2007년 9월 4일 출원된 미국 가출원 제60/969,773호, 2007년 10월 22일 출원된 미국 가출원 제60/981,767호, 및 2007년 11월 5일 출원된 미국 가출원 제60/985,538호의 우선권에 관한 이익을 주장하며, 이들 출원은 어떤 목적에 대해서도 참조로서 본 출원에 원용된다.
본 발명은 통신 분야, 특히 통신 시스템에서 보안 연계를 구축하고 핸드오프 인증을 수행하는 시스템 및 방법에 관한 것이다.
종래의 무선 네트워크 환경은 이동 전자 디바이스를 서비스 프로바이더에 접속한다. 특히, WiMAX(Worldwide Interoperability for Microwave Access) 네트워크 환경은 클라이언트 디바이스를 중간 접속을 경유하여 예를 들면 인터넷에 접속한다. WiMAX는 무선 네트워킹 기술로서 상당한 거리에 걸쳐서 통신을 무선 디바이스에 제공한다. 그러나, 인증 및 재인증 지연은 클라이언트 디바이스와의 통신을 지연시켜서 WiMAX 환경의 효율성을 감소시킬 수 있다.
도 1은 IEEE 802.16d/802.16e WiMAX 무선 통신 시스템에 사용되는 종래 기술의 무선 통신 시스템의 일례를 도시하는 블럭도이다. 인터넷(100)에 대해 액세스하면, 적어도 하나의 인증, 인가 및 계정 서버(104)(AAA server: authentication, authorization, and accounting server)를 이용하여 적어도 하나의 접속 서비스 네트워크(102)(CSN: connectivity service network)에 액세스가 제공된다. CSN(102)은 게이트웨이(106 및 108)(GW)에 접속된다. 게이트웨이(106 및 108)는 일반적으로 여러 개의 기지국(110 내지 115)(BS: base station)에 접속되는데, 이러한 기지국의 개수는 게이트웨이가 단지 하나의 기지국에 접속될 수 있을지라도 소정 영역에서의 네트워크의 수요에 따라 결정된다. 단지 두 개의 게이트웨이(106 및 108)만이 도시되어 있지만, 요구된 기지국의 개수에 따라 더 많거나 또는 더 적은 게이트웨이를 구비하는 것이 가능하다.
도 1에서는 WiMAX 환경의 일례로서 6개의 기지국이 도시되지만, WiMAX 환경에서 이용 가능한 게이트웨이의 개수 및 네트워크 수요에 따라 더 많거나 또는 더 적은 기지국이 제공될 수도 있다. 기지국(110), 기지국(114) 등의 기지국은 하나 또는 그 이상의 클라이언트 디바이스와 통신한다. 이들 클라이언트 디바이스는 기지국에 의해 무선 네트워크 서비스가 제공되는 이동국(120, 122, 및 124)과 같은 이동국(MS: mobile station) 및 기지국에 의해 유선 또는 무선 네트워크 서비스가 제공되는 가입자 설비(126 및 128)와 같은 가입자 설비(SS: subscriber station)를 포함한다. 여러 개의 클라이언트 디바이스가 네트워크 상에서 필요로 하는 것은 하나의 기지국에 의해 충족될 수 있으며, 하나의 기지국은 이동국 및 가입자 설비 양쪽이 네트워크 상에서 필요로 하는 것을 충족할 수 있다.
종래의 WiMAX 환경에서는 도 1에 도시된 바와 같이, 이동국(120)이 연관된 기지국 예를 들면 기지국(110)을 경유하여 게이트웨이 예를 들면 게이트웨이(106)에 의해 처음으로 서비스를 제공받을 때마다 그 이동국(120)을 인증할 필요가 있다. 이러한 인증 후에는 이동국(120)이 최초의 인증 게이트웨이를 경유하여 연속된 서비스를 가능하게 하는 영역에서 이동하는 동안에는 더 이상의 게이트웨이 인증을 필요로 하지 않는다. 그러나, 이동국(120)이 다른 게이트웨이 예를 들면 게이트웨이(108)에 의해 서비스되는 영역으로 이동하면, 이동국(120)은 다른 게이트웨이로 핸드오버된다. 그래서, 이 다른 게이트웨이가 서비스 제공 전의 핸드오프 처리의 일부로서 이동국(120)을 재인증할 필요가 있다. 클라이언트 디바이스가 인증 또는 재인증된 후, 보안 연계 즉 이동국(120) 및 기지국(110)과 같은 두 개의 네트워크 개체 간의 보안 정보의 공유가 구축되어 두 개의 개체 간의 통신이 안전하다는 것을 보증한다.
표준 인증 프로토콜은 앞선 인증 기술을 표준화하도록 작성되었다. 이들 표준화 프로토콜은 예를 들면 IEEE 802.1X 인증, 이동 통신용 글로벌 시스템(GSM)용 확장 가능 인증 프로토콜(EAP) 방법 및 가입자 식별(EAP-SIM), 범용 이동 통신 시스템(UMTS) 인증용 확장 가능 인증 프로토콜 방법 및 키 일치(EAP-AKA) 및/또는 확장 가능 인증 프로토콜(EAP)과 사용자 서비스 중의 원격 인증 다이얼(RADIUS) 프로토콜의 조합을 포함할 수도 있다. 또한, 보안 연계 시그널링 프로토콜 등의 표준화 핸드쉐이크 프로토콜, 예를 들면 보안 연계 및 트래픽 암호화 키(SA-TEK) 3-웨 이(3-way) 핸드쉐이크 및 트래픽 암호화 키(TEK) 3-웨이 핸드쉐이크가 통신 링크 상에서 보안 연계를 구축하도록 사용되어도 된다.
IEEE 802.16d/802.16e WiMAX 무선 통신 시스템에 있어서, 이들 표준화 기술은 기지국과 이동국 사이에서 수행된다. 각 표준화 인증 기술은 다중 전송을 필요로 하는데, 이들 전송은 인증 시간과 처리 오버헤드를 소요한다.
도 2는 IEEE 802.16d/802.16e WiMAX 무선 통신 시스템에서 종래 기술의 인증 및 인가의 일례를 도시하는 신호 전달도이다. 초기화 프로세스(200)는 네트워크 서비스를 요구하는 이동국이 그 네트워크에 액세스하고 이동국과 기지국 사이에서 보안 연계를 제공하도록 인증되어 안정 메시지 전송을 허용하는 것을 보증하는데 사용된다. 예를 들면, 초기화 프로세스(200)는 기지국(111)의 영역 내로 이동된 직후 이동국(120)과 이전에 기지국(110)의 영역 내에 있을 때의 이동국(120) 간의 보안 연계를 제공하는데 사용되어도 된다.
초기화 프로세스(200)의 제1 단계에 있어서, 이동국(120)은 링크 업 프로세스를 경유하여 기지국(111)에 무선으로 접속되는데, 링크 업 프로세스는 예컨대 레인징 리퀘스트(ranging request)(202)와 같은 신호 메시지 및 레인징 리스폰스(ranging response)(204)와 같은 신호 메시지를 포함한다. 그 후, 이동국(120)은 게이트웨이(106)을 통한 AAA 서버(104)에 의한 IEEE 802.1X 전인증(206)과 같은 다단계 프로세스의 인증을 거쳐야 한다. 그 후, AAA 서버(104)는 이동국(120)용의 마스터 세션 키(MSK: master session key)(도시 생략)를 계산하고 이 MSK를 게이트웨이(106)에 전달한다. 이 MSK는 그 캐시에 저장된다. 예를 들면 EAP 방법 또는 다른 인증 방법을 통한 인증의 결과물은 MSK의 전송인데, 이는 AAA 서버(104), 게이트웨이(106), 및 이동국(120)에 알려진다. 게이트웨이(106)는 이동국(120)용의 페어와이즈 마스터 키(PMK: pairwise master key)(210) 및 인증 키(212)(AK: authentication key)를 생성하여 AK(212)를 기지국(111)에 전송한다.
이동국(120)은 MSK를 자체 메모리에 독립적으로 보유 및 저장할 수 있거나 AK(212)를 생성할 수도 있다. 그 후, 기지국(111)은 SA-TEK 3-웨이 핸드쉐이크 프로시져(214)를 수행하여 이동국(120)에 의해 보유된 AK가 기지국(111)에 의해 보유된 AK(212)와 동일하다는 것을 확인할 수도 있다. 기지국(111) 및 이동국(120)에 의해 공통으로 보유된 AK(212)를 이용하여, 기지국(111) 및 이동국(120)은 이동국(120) 및 공통 키 암호화 키(KEK: key encryption key)(218)를 식별하는 공통 메시지 인증 코드 키(215)(MACK: message authentication code key)와 같은 검증 키를 각각 생성할 수도 있다. MACK(215)는 이동국(120) 및 기지국(111)에 의해 생성된 인증된 메시지를 식별할 수도 있다. KEK(218)는 기지국(120)으로부터 이동국(111)으로의 트래픽 키 전달을 보호할 수도 있다. 기지국(110)과 이동국(120)은 MACK(215)를 갖는 SA-TEK 3-웨이 핸드쉐이크 프로시져(214)를 수행하여 서로를 인증할 수도 있다. SA-TEK 3-웨이 핸드쉐이크 프로시져(214)가 성공적으로 완료되었을 경우, 기지국(110)은 트래픽 암호화 키(220)(TEK)와 같은 트래픽 키를 생성한 후 KEK(218)을 갖는 TEK 3-웨이 핸드쉐이크 프로시져(216)를 수행하여 이동국(120)과의 보안 연계를 구축할 수도 있다. 이동국(120)이 네트웨크에 액세스하도록 인증 및 인가된 후, TEK(220)는 기지국(111)에 의해 일반적으로 무작위로 생성되어 이동국(120) 및 기지국(111) 사이에서 전송된 데이터를 암호화하는 데 사용된다. SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216)는 이 기술분야에서 공지되어 있으므로 더 이상 설명하지 않는다.
도 2에 도시된 바와 같은 IEEE 802.16d/802.16e WiMAX 무선 통신 시스템에 사용되는 초기화 프로세스(200)에 있어서, 기지국(111)과 이동국(120)이 동일한 TEK(220), KEK(218), MACK(215) 및 AK(212)를 보유하기 때문에 기지국(111)은 기지국(111) 및 이동국(120) 사이의 채널 상에서 발생하는지의 여부를 제어한다. 기지국과의 보안 연계를 구축한 후, 즉 이동국이 네트워크 상에서 통신하기 위한 인가를 부여받은 후, 암호화된 데이터 전송이 TEK를 이용하여 이동국과 기지국 사이에 수행된다.
다시 도 1을 참조하면, 동작 중의 신호 및 전송 품질의 강도는 네트워크 신호가 게이트웨이(106) 또는 게이트웨이(108)로부터 기지국(110 내지 115) 및 클라이언트 디바이스(120, 122, 124, 126, 및 128)로 이동함에 따라 감소될 수 있다. 더욱이, 신호 및 전송 품질은 이동국이 그 서비스하는 기지국으로부터 이동함에 따라 감소된다. 신호 품질 및 커버리지는 물리적 구조, 신호 간섭, 기상 및 전송 조건 및 포맷과 같은 팩터에 의해 영향을 받을 수도 있다. 따라서, 커버리지 간극 즉 사각 지대가 존재하여 이들 영역 내의 사용자들은 네트워크에 액세스하는데 제한을 받을 수 있다.
커버리지 간극을 방지하거나 감소시키는 하나의 해결책은 보다 많은 기지국을 제공하는 것이지만 이는 많은 비용이 소요될 수 있다. 그 대안으로, IEEE 802.16j에서 설명하는 바와 같은 멀티홉 중계(MR: multi-hop relaying)의 개념을 구현하는 것과 같은 중계국(RS)을 사용함으로써 네트워크는 커버리지 갭을 방지 또는 감소시켜서 그 네트워크 커버리지를 확장할 수 있다. 일반적으로, 기지국은 신호를 이동국 및 기지국 간에 올려서 중계하는 중계국과 통신하는데, 그렇지 않으면 기지국은 인증 및/또는 신호 연계의 구축에 포함되지 않는다.
도 3은 MR 아키텍쳐를 갖는 IEEE 802.16j WiMAX 무선 통신 시스템에 사용되는 종래 기술의 무선 통신 시스템의 일례를 도시하는 블럭도이다. IEEE 802.16d/802.16e WiMAX 무선 통신 시스템과 마찬가지로 인터넷(100)에 대한 액세스는 AAA 서버(104)와 같은 적어도 하나의 AAA 서버 및 게이트웨이(106)와 같은 적어도 하나의 게이트웨이를 경유하여 제공된다. 편의상 인터넷(100), CSN(102), AAA 서버(104) 및 게이트웨이(106)는 코어 네트워크(300)로 언급한다. 네트워크(300), 특히 게이트웨이(106)는 일반적으로 유선 접속을 거쳐 기지국(310 내지 313)과 통신한다.
도 3에는 네 개의 기지국(310 내지 313)이 도시되지만, 더 많거나 적은 기지국이 제공될 수 있다. 기지국(310)과 같은 기지국은 무선 전송을 경유하여 이동국(320)과 같은 하나 이상의 이동국과 직접 통신할 수 있다. 기지국(311) 및 기지국(312)과 같은 기지국은 이동국(322, 324, 326)과 같은 하나 이상의 이동국과 간접적으로 통신할 수도 있다. 기지국은 일반적으로 무선 전송을 경유하여 중계국(328, 330, 및 332)과 같은 하나 이상의 중계국과 통신하지만 이들 기지국은 유선 접속을 거쳐 통신할 수도 있다. 중계국(328, 330, 332)은 무선 전송을 경유하 여 이동국(322)에 대해 신호를 올려서 중계한다. 도시된 바와 같이, 중계국(328, 330, 및 332)은 고정 중계국이다. 그러나, 기지국은 이동 중계국(334)과 같은 이동 중계국(MRS)과 통신할 수도 있다. 이동 중계국은 예를 들면 기차, 비행기 또는 자동차에 설치되어 이동 중계국이 이동함에 따라 이동국을 갖는 승객에게 다양한 기지국 또는 중계국에 대한 이동 네트워크 액세스를 제공한다. 도 3에 도시된 바와 같이, 이동 중계국(334)이 이동국(324, 326)에 무선 서비스를 제공하지만, 단지 하나의 이동국 또는 여러 개의 이동국이 네트워크 상에서 필요로 하는 것은 하나의 이동 중계국에 의해 충족될 수 있다. 도시되어 있지 않지만, 기지국(310 내지 313)은 하나 이상의 가입자 설비와 통신할 수도 있다. 여러 개의 클라이언트 디바이스가 네트워크 상에서 필요로 하는 것은 하나의 기지국에 의해 바로 또는 하나 이상의 중계국을 거쳐 충족될 수 있다. 또한, 중계국(328, 330, 332)은 무선 서비스를 추가적인 중계국, 추가적인 이동 중계국, 및/또는 추가적인 이동국에 제공할 수 있다.
일부의 응용에 있어서, 중계국의 사용은 스테이션간(기지국/중계국) 핸드오프에 대한 필요성을 증가시키고 각 중계국(이동 중계국을 포함)의 제한된 커버리지 영역으로 인해 이런 핸드오프에 대해 처리 오버헤드가 증가할 수도 있다. 또한, 보안 통신을 포함할 경우, 하나의 기지국/중계국에서 다른 기지국/중계국으로의 핸드오프 처리는 또다른 오버헤드를 필요로 하며, 이로 인해 효율, 대역폭, 또는 통 신 접속의 품질을 감소시킬 수 있다.
개시된 실시예는 상술한 하나 이상의 문제점을 극복하기 위한 것이다.
일 태양에 있어서, 본 발명은 통신 네트워크에서 기지국, 중계국 및 이동국 간의 보안 통신을 제공하는 방법에 관한 것이다. 보안 통신 제공 방법은 기지국으로부터 비요구 보안 키를 중계국에 의해 수신하며 이동국으로부터 신호 메시지를 중계국에 의해 수신한다. 보안 통신 제공 방법은 또한 보안 키를 이용하여 중계국에 의해 이동국을 인증한다.
다른 태양에 있어서, 본 발명은 통신 네트워크에서 기지국, 중계국 및 이동국 간의 보안 통신을 제공하는 방법에 관한 것이다. 보안 통신 제공 방법은 이동국으로부터 신호 메시지를 중계국에 의해 수신하고 신호 메시지를 수신한 다음 보안 키 요구를 기지국으로 중계국에 의해 전송한다. 보안 통신 제공 방법은 또한 앞서 전송된 보안 키 요구에 응답하여 기지국으로부터 보안 키를 중계국에 의해 수신하고, 수신된 보안 키를 이용하여 중계국에 의해 이동국을 인증한다.
다른 태양에 있어서, 본 발명은 통신 네트워크에서 타겟 기지국, 이동 중계국 및 적어도 하나의 이동국 간의 보안 통신을 제공하는 방법에 관한 것이다. 이 방법은 이동 중계국에 의해 신호 메시지를 타겟 기지국으로 전송한다. 신호 메시지는 적어도 하나의 이동국에 대응하는 메시지 인증 코드(MAC: message authentication code)를 포함한다. 보안 통신 제공 방법은 또한 이동 중계국에 의해 응답의 신호 메시지를 타겟 기지국으로부터 수신하고, 이동 중계국에 의해 적어 도 하나의 이동국에 대응하는 적어도 하나의 보안 키를 타겟 기지국으로부터 수신한다. 또한, 보안 통신 제공 방법은 이동 중계국에 의해 대응하는 보안 키를 이용하여 적어도 하나의 이동국을 인증한다.
또다른 태양에 있어서, 본 발명은 통신 네트워크에서 보안 통신을 제공하는 중계국에 관한 것이다. 중계국은 데이터 및 명령을 저장하는 적어도 하나의 메모리 및 메모리에 액세스하도록 구성되는 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로세스는 명령을 실행할 때 이동국으로부터 수신된 신호 메시지에 응답하여 기지국으로부터 수신된 비요구 보안 키를 이용하여 이동국을 인증하도록 구성된다.
다른 태양에 있어서, 본 발명은 통신 네트워크에서 보안 통신을 제공하는 중계국에 관한 것이다. 중계국은 데이터 및 명령을 저장하는 적어도 하나의 메모리 및 메모리에 액세스하도록 구성되는 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로세스는 명령을 실행할 때 이동국으로부터 신호 메시지를 수신한 다음 기지국으로 보안 키 요구를 전송하고, 사전 전송된 보안 키 요구에 응답하여 기지국으로부터 수신된 보안 키를 이용하여 이동국을 인증하도록 구성된다.
또다른 태양에 있어서, 본 발명은 통신 네트워크에서 보안 통신을 제공하는 기지국에 관한 것이다. 기지국은 데이터 및 명령을 저장하는 적어도 하나의 메모리 및 메모리에 액세스하도록 구성되는 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로세스는 명령을 실행할 때 기지국의 커버리지 영역으로 진입했다는 지시에 응답하여 인증, 인가 및 계정 서버로부터 수신된 비요구 인증 키(AK)를 중 계국으로 전송하도록 구성된다.
다른 태양에 있어서, 본 발명은 통신 네트워크에서 보안 통신을 제공하는 기지국에 관한 것이다. 기지국은 데이터 및 명령을 저장하는 적어도 하나의 메모리 및 메모리에 액세스하도록 구성되는 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로세스는 명령을 실행할 때 중계국으로부터 수신된 보안 키 요구에 응답하여 중계국으로 보안 키를 전송하도록 구성된다.
또다른 태양에 있어서, 본 발명은 보안 통신을 제공하는 시스템에 관한 것이다. 시스템은 통신 네트워크에 대한 액세스를 제공하고 네트워크를 거쳐 이동국을 인증하며 적어도 하나의 보안 키를 수신하고 적어도 하나의 보안 키를 사전 분배하도록 구성되는 기지국을 포함한다. 시스템은 또한 사전 분배된 적어도 하나의 비요구 보안 키를 수신하고, 보안 키를 이용하여 안전한 데이터 전송을 인증된 이동국에 제공하는 기지국과 통신하는 중계국을 포함한다. 보안 키는 인증 키(AK) 및 검증 키 중 적어도 하나를 포함한다.
다른 태양에 있어서, 본 발명은 보안 통신을 제공하는 시스템에 관한 것이다. 시스템은 통신 네트워크에 대한 액세스를 제공하고 네트워크를 거쳐 이동국을 인증하며 적어도 하나의 보안 키를 수신하고 적어도 하나의 보안 키 요구를 수신하며 보안 키 요구에 응답하여 적어도 하나의 보안 키를 전송하도록 구성되는 기지국을 포함한다. 시스템은 또한 적어도 하나의 보안 키 요구를 기지국으로 전송하고 보안 키 요구에 응답하여 기지국으로부터 적어도 하나의 보안 키를 수신하며 보안 키를 이용하여 안전한 데이터 전송을 이동국에 제공하는 기지국과 통신하는 중계국 을 포함한다. 보안 키는 인증 키(AK) 및 검증 키 중 적어도 하나를 포함한다.
다른 태양에 있어서, 본 발명은 통신 네트워크에서 기지국, 중계국 및 이동국 간의 보안 통신을 제공하는 방법에 관한 것이다. 보안 통신 제공 방법은 중계국으로부터 키 요구를 수신하면 키 분배를 수행하여 이동국에 대응하는 검증 키를 중계국으로 분배하고, 중계국이 키 검증을 수행하여 이동국을 식별한다.
다른 태양에 있어서, 본 발명은 통신 네트워크에서 기지국, 중계국 및 이동국 간의 보안 통신을 제공하는 방법에 관한 것이다. 보안 통신 제공 방법은 키 사전 분배를 수행하여 이동국에 대응하는 비요구 검증 키를 중계국으로 분배하고, 중계국에 의하여 키 검증을 수행하여 이동국을 식별한다.
또다른 태양에 있어서, 본 발명은 통신 네트워크에서 기지국, 중계국 및 이동국 간의 보안 통신을 제공하는 방법에 관한 것이다. 보안 통신 제공 방법은 중계국이 키 검증을 수행하여 이동국을 식별하고, 이동국이 키 검증을 수행하여 중계국을 식별한다.
본 발명에 따르면, 효율, 대역폭, 또는 통신 접속의 품질을 증가시키는 효과를 얻을 수 있다.
본 발명의 실시예는 중계국을 채용하는 IEEE 802.16j WiMAX 무선 통신 시스템 또는 기타 무선 통신 네트워킹 시스템에서 보안 연계를 제공할 수 있다. 이동국과의 보안 접속을 구축하고 이동국에 네트워크에 대한 액세스를 제공하는 능력을 갖는 중계국(RS)을 제공함으로써 처리 오버헤드가 현저히 감소될 수 있다. 네트워크에 대한 액세스를 탐색하는 이동국에 대응하는 보안 자료를 중계국에 제공함으로써, 중계국은 이동국과의 보안 연계를 신속하게 구축하고 이동국이 핸드오프할 때 이동국에 대한 인증 및 인가를 수행할 수 있다.
도 4는 선택된 중계국이 인증자 중계-중계국(AR-RSs)의 역할을 하는 IEEE 802.16j WiMAX 무선 통신 시스템에 사용되는 무선 통신 시스템의 일례를 도시하는 블럭도이다. 도 4에 있어서, 기지국(400)은 유선에 의해 네트워크(300)에 접속되며, 무선으로는 하나 이상의 중계국(402 및 404)과 통신한다. 여기서 이들 중계국은 수신된 신호를 올려서 AR-RS(406 내지 409)에 중계한다. 도 4에 도시된 바와 같이, AR-RS(408)는 이동 중계국이다. 중계국(402 및 404) 및 AR-RS(406 내지 409)가 네트워크(300)에 대한 초기화 중에 인증된 후, 중계 키(RK)(410)는 기지국(400)에 대한 커버리지 영역 내의 선택된 중계국, 예를 들면 중계국(402 및 404) 및 AR-RS(406 내지 409)에 기지국(400)에 의해 분배된다. 중계 키(RK)(410)는 데이터와 신호를 보호하는 데 이용되며, IEEE 802.16j 네트워크에서 중계국 간 및/또는 중계국 및 기지국 간에 통신 채널용 데이터 및/또는 관리 메시지를 보호하는데 이용될 수 있다. 보안 영역 키라고 하는 통상적인 특정 타입의 중계 키(410)를 보유하는 기지국(400), 중계국(402 및 404) 및 AR-RS(406 및 409)에 의해 제공된 네트워크 커버리지 영역은 보안 중계 영역(412)(secure relay zone, SRZ)라고도 할 수 있다. 도 4는 AR-RS(406)에 의해 서비스되는 단일 이동국(414) 및 AR-RS(408)에 의해 서비스되는 두 개의 이동국(416 및 418)을 도시하지만, 여러 개의 이동국 이 네트워크 상에서 필요로 하는 것은 단일 AR-RS에 의해 제공될 수 있다. 또한, AR-RS(408)만이 이동 중계국으로서 도시되지만, SRZ(412) 내의 부가의 AR-RS가 이동 중계국이 될 수도 있다.
이동국(414)이 기지국(400)에 의해 처음 서비스될 때마다, 네트워크(300)와의 보안 연계를 구축할 필요가 있다. 이동국(414)이 SRZ(412) 내에서 이동하는 동안 추가적인 보안 연계 구축 및 인증을 방지하는 것이 가능하다. 그러나, 이동국(414)이 다른 기지국에 의해 서비스되는 영역으로 이동하면, 이동국(414)은 다른 기지국으로 핸드오버된다. 그래서, 다른 기지국이 이동국(414)과의 다른 보안 연계를 구축하고 다른 기지국이 게이트웨이(106)를 거쳐 접속되는지 여부에 따라 핸드오프 처리의 일부로서 이동국(414)을 인증하는 것이 필요할 수도 있다. 이런 재인증 및/또는 보안 연계 구축은 서비스를 이동국(414)에 제공하는 경우에 지연을 초래한다.
도 5a는 기지국(400)과 같은 기지국의 구성의 일례를 도시하는 블럭도이다. 기지국(400)은 무선 통신 시스템에서 데이터 및/또는 통신을 이동국(414)과 같은 하나 이상의 이동국, 중계국(402 및 404)과 같은 중계국 및/또는 AR-RS(406 내지 409)와 같은 AR-RS에 대해 송신 및/또는 수신하도록 구성되는 임의의 타입의 통신 디바이스이어도 된다. 도 5a에 도시된 바와 같이, 각 기지국(400)은 하나 이상의 다음의 구성요소를 포함할 수 있다. 이들 구성요소는 컴퓨터 프로그램 명령을 수행하여 다양한 프로세스와 메소드를 수행하도록 구성되는 적어도 하나의 중앙 처리 장치(CPU)(500), 정보와 컴퓨터 프로그램 명령을 저장하도록 구성되는 RAM(502) 및 ROM(504), 데이터와 정보를 저장하는 메모리(저장부, 506), 테이블, 리스트 또는 다른 데이터 구조를 저장하는 데이터베이스(508), I/O 디바이스(510), 인터페이스(512), 안테나(514) 등이다. 이들 각각의 구성요소는 이 기술분야에서 알려져 있으므로 더 이상 설명하지 않는다.
도 5b는 이동국(414)과 같은 이동국의 구성의 일례를 도시하는 블럭도이다. 도 5b에 도시된 바와 같이, 각 이동국(414)은 하나 이상의 다음 구성요소를 포함할 수 있다. 이들 구성요소는 컴퓨터 프로그램 명령을 수행하여 다양한 프로세스와 메소드를 수행하도록 구성되는 적어도 하나의 CPU(520), 정보와 컴퓨터 프로그램 명령을 저장하도록 구성되는 RAM(522) 및 ROM(524), 데이터와 정보를 저장하는 메모리(526), 테이블, 리스트 또는 다른 데이터 구조를 저장하는 데이터 베이스(528), I/O 디바이스(530), 인터페이스(532), 안테나(534) 등이다. 이들 각각의 구성요소는 기술분야에서 공지되어 있으므로 더 이상 설명하지 않는다.
도 5c는 AR-RS/이동 중계국(406)과 같은 중계국 또는 이동 중계국의 구성의 일례를 도시하는 블럭도이다. 도 5c에 도시된 바와 같이, 각 중계국/이동 중계국(406)은 하나 이상의 다음 구성요소를 포함할 수 있다. 이들 구성요소는 컴퓨터 프로그램 명령을 수행하여 다양한 프로세스와 메소드를 수행하도록 구성되는 적어도 하나의 중앙 처리 장치(CPU)(540), 정보와 컴퓨터 프로그램 명령을 저장하도록 구성되는 RAM(542) 및 ROM(544), 데이터와 정보를 저장하는 메모리(546), 테이블, 리스트, 또는 다른 데이터 구조를 저장하는 데이터 베이스(548), I/O 디바이스(550), 인터페이스(552), 안테나(554) 등이다. 이들 각각의 구성요소는 기술분 야에서 공지되어 있으므로 더 이상 설명하지 않는다.
Ⅰ. 초기화
도 6은 선택된 중계국이 인증자 중계-중계국의 역할을 하는 IEEE 802.16j WiMax 무선통신 시스템에서 인증 및 인가 과정의 일례를 도시한 신호 전달도이다. 초기화 프로세스(600)는 네트워크 서비스를 요구하는 이동국이 안전한 메시지 전송을 위해 네트워크(300)에 액세스하여 이동국, 중계국 및 AR-RS 간의 보안 연계를 제공하도록 인증되는 것을 보장하기 위해 이용된다. 예컨대, 프로세스(600)는 이동국이 켜진 직후 또는 이동국이 게이트웨이(108)에 접속된 기지국을 거쳐 제공되는 커버리지 영역에서 AR-RS(406)에 의해 제공되는 커버리지 영역으로 이동된 후 이동국(414)과의 보안 연계를 인증하고 구축하기 위해 이용될 수 있다. 우선, IEEE 802.16 프로토콜에 따라서 이동국(414)은 레인징 리퀘스트(602)와 같은 신호 메시지를 전송하여 이동국(414)이 AR-RS(406)의 구간 내에 있음을 지시한다. 다음으로, 다시 IEEE 802.16 프로토콜에 따라서, AR-RS(406)는 이동국 인증 요구(604)를 거쳐 기지국(400)으로부터의 인증을 요구하고 이동국(414)으로 레인징 리스폰스(606)를 전송하여 이동국(414)의 신호 구간 및 레인징 리퀘스트(602)의 수신을 확인한다. 이동국(414)은 기지국(400)과 게이트웨이(106)를 거쳐 이전이나 최근에 네트워크(300)에 접속되지 않았기 때문에, 이동국(414)은 AAA 서버(104)와의 IEEE 802.1X 전인증(206)을 수행한다. IEEE 802.1X 전인증(206)의 결과, 게이트웨이(106)는 AAA-서버(104)로부터 MSK를 수신한 후 이동국(414)을 위한 MSK로부터 AK(610)과 같은 마스터 키와 PMK(608)를 추출하여 저장한다. AK(610)과 같은 마스 터 키는 다른 보안 자료 및/또는 보안 키를 추출할 수 있는 키이다. 다음 게이트웨이(106)는 AK(610)를 안전하게 기지국(400)으로 전송한다. 게이트웨이(106)로부터 AK(610)를 수신한 기지국(400)은 이동국(414)과 중계국(406) 사이에 보안 연계를 직접 구축하기 위해 AR-RS(406)으로 AK(610)를 전송한다. 이동국(414)은 자체적으로 MSK, PMK(608) 및 AK(610)를 산출한다.
예시적인 일 실시예에서, AR-RS(406)가 미래 인증 프로토콜을 수행하고 이동국(414)과의 보안 연계를 구축할 수 있도록 허용하기 위해, 기지국(400)은 AK(610)를 포함하는 키 리스폰스(key response)(614)를 AR-RS(406)로 전송한다. AR-RS(406)는 우선 AK(610)로부터 MACK(618)와 같은 검증 키와 KEK(218)을 추출할 수 있다. 그 후, AR-RS(406)는 국부적으로 MACK(618)에 의해 보호되는 이동국(414)과의 SA-TEK 3-웨이 핸드쉐이크 프로시져(214)를 수행할 수 있다. SA-TEK 3-웨이 핸드쉐이크 프로시져(214)가 성공적으로 종료되면, AR-RS(406)는 TEK(616)으로 사용하기 위한 무작위 숫자를 생성해서 KEK(218)에 의해 보호되는 TEK(616)과 같은 트래픽 키를 이동국(414)으로 전송한다. 마지막으로, AR-RS(406)와 이동국(414)은 TEK(616)를 이용하여 이들과 MACK(618) 사이의 데이터 전송을 보호함으로써 서로 인증한다.
도 6은 선택된 중계국이 AR-RS로 기능하는 IEEE 802.16j WiMax 무선통신 시스템에서의 인증 인가 과정의 일례를 도시한 신호 전달도이다. 기술분야의 당업자라면 도 6의 AR-RS가 AR-RS(408)와 같은 이동 중계국일 수 있음을 이해할 수 있을 것이다. 기술분야의 당업자라면 기지국(400)이 AR-RS(406)로 AK(610)를 전송하는 대신에 AR-RS(406)과 같은 이동국으로 다른 보안 자료를 전송할 수 있음을 이해할 수 있을 것이다. 예컨대 기지국(400)은 AK(610)를 수신했을 때 AK(610)를 전송하는 대신 AK(610)를 이용하여 MACK(618)를 생성하여 중계국(406)으로 MACK(618)를 전송할 수 있다. 중계국(406)은 MACK(618)를 이용하여 이동국의 동일성을 인증하거나 검증할 수 있다. 이동국(414)과 AR-RS(406)는 페이로드(payload) 내부의 MAC 또는 MAC 패킷의 데이터 요소를 점검하여 서로 인증함으로써 서로를 식별할 수 있다.
Ⅱ. 기지국내(intra-base station) 핸드오프
도 7은 타겟 AR-RS가 요구되는 AK를 현재 보유하지 않는 경우, 동일 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시한 신호 전달도이다. 핸드오프 프로세스(700)는 타겟 AR-RS로부터의 네트워크 서비스를 요구하는 이동국이 안전한 메시지 전송을 위해 네트워크에 액세스하여 이동국 및 AR-RS 간의 보안 연계를 제공하도록 인증되는 것을 보장하기 위해 이용된다. 예컨대 핸드오프 프로세스(700)는 도6에 설명된 프로세스를 거쳐 AR-RS(406)를 이용하여 이미 인증된 이동국(414)을 AR-RS(406)에서 AR-RS(407)로 핸드오프하기 위해 이용될 수 있으며, 이때 AR-RS(407)는 그 메모리(예컨대 메모리(546), ROM(544), RAM(542) 또는 데이터베이스(548))에 이동국(414)과 연계된 AK, 즉 AK(610)를 현재 갖지 않지만 AR-RS(406)와 AR-RS(407)는 모두 기지국(400)을 거쳐 네트워크(300)에 접속된다.
핸드오프 프로세스(700)에서 이동국(414)은 우선 이동국(414)이 AR-RS(407) 의 구간 내에 있음을 지시하기 위해 AR-RS(407)로 레인징 리퀘스트(602)와 같은 신호 메시지를 전송한다. 레인징 리퀘스트(602)는 이동국(414)을 요구 이동국으로 식별하는 이동국 메시지 인증 코드, HMAC 및/또는 CMAC와 같은 보안 자료 식별을 포함할 수 있다. 이와 달리, 레인징 리퀘스트(602)는 예컨대 AKID를 포함할 수 있다. AKID, MS MAC, HMAC 및/또는 CMAC는 각각 AR-RS(407)에 이동국(414)을 위한 식별 정보를 제공하고 AR-RS(407)가 AK(610)를 보유하지 않을 경우 기지국(400)으로부터 AK(610)를 요구하기 위해 이용될 수 있다. 예컨대, AKID가 포함되는 경우, AR-RS(407)는 AR-RS(407)가 액티브 AK를 보유한다면 대응하는 이동국을 인증하도록 결정하거나 AR-RS(407)가 액티브 AK를 보유하지 않는다면 기지국(400)으로부터 액티브 AK를 요구할 수 있다. AKID가 레인징 리퀘스트(602)에 포함되지 않을 경우, 이동국(414)에 의해 보유되는 AK를 검증하기 위해 다른 보안 자료 식별이 이용될 수 있다. AR-RS(407)는 그 메모리(예컨대 메모리(546), ROM(544), RAM(542) 또는 데이터베이스(548))에 AK(610)를 현재 갖지 않기 때문에, AR-RS(407)는 기지국(400)으로 키 요구(key request)(704)를 전송한다. 키 요구(704)는 이동국(414)에 대응하는 MAC/HMAC/CMAC를 포함한다. AR-RS(407)는 이동국(414)으로 레인징 리스폰스(606)를 전송하여 이동국(414)의 존재와 레인징 리퀘스트(602)의 수신을 확인한다.
키 요구(704)를 수신한 기지국(400)은 이동국(414)의 적격을 검증한다. 기지국(400)은 그 메모리(예컨대 메모리(506), ROM(504), RAM(502) 또는 데이터베이스(508))로부터 AK(610)를 검색할 수 있으며, 이동국(414)은 이동국(414)이 AR- RS(406)에 접속되었을 때 AK(610)를 얻기 위해 이동국(414)과의 IEEE 802.1X 전인증(206)을 이미 수행했기 때문에, 기지국(400)과 이동국(414)이 다시 이 프로세스를 수행할 필요가 없다. 이와 같이, 기지국(400)은 AK(610)를 포함하는 키 리스폰스(612)를 AR-RS(407)로 전송함으로써, AR-RS(406)에게 이동국(414)을 추가로 인증하고 이동국과 안전하게 통신할 수 있는 자격을 부여한다.
레인징 리스폰스(606)를 수신한 이동국(414)은 IEEE 802.1X 전인증(206)을 시작하기 위해 확장 인증 프로토콜(EAP)을 이용한 인증을 개시하고자 시도할 수 있다. AR-RS(407)가 예컨대 IEEE 802.16d를 지원하는 프라이버시 키 관리 확장 인증 프로토콜(PKM-EAP: privacy key management extended authentication protocol) 또는 IEEE 802.16e를 지원하는 PKMv2-EAP 시작 요구(start request, 708)와 같은 요구를 수신하면, AR-RS(407)는 IEEE 802.1X 전인증(206)을 실제로 수행하지 않고도 이동국(414)에 대해 IEEE 802.1X 전인증(206)가 성공했음을 지시하는 PKMv2-EAP 완료 메시지(710)를 이동국(414)으로 전송할 수 있다.
AR-RS(407)가 AK(610)를 가진 후, AR-RS(407)는 이동국(414)과의 보안 접속을 구축하기 위해 이동국(414)과의 SA-TEK 3-웨이 핸드쉐이크(214) 및/또는 TEK 3-웨이 핸드쉐이크(216)를 수행할 수 있다. TEK 3-웨이 핸드쉐이크(216) 동안, AR-RS(406)는 AR-RS(407)에 의해 생성되고 KEK(218)를 이용하여 암호화된 TEK(712)와 같은 새로운 트래픽 키를 이동국(414)으로 전송한다. 그 후, AR-RS(407)와 이동국(414)은 보안 통신 채널에서 통신을 할 수 있다.
도 8은 타겟 AR-RS가 비요구 키 사전 분배를 통해 AK를 수신하는 경우, 동일 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시한 신호 전달도이다. 도 8에 도시된 바와 같이, 기지국(400)은 이동국(414)이 AR-RS(407)의 커버리지 영역으로 진입하려 한다거나 최근 진입했음을 지시하는 신호를 수신한다. 기지국(400)은 추가적인 신호 메시지나 위성항법장치(GPS)와 같은 예측 기술을 이용하여 BS-BS 또는 BS-게이트웨이 통신을 통해 다른 기지국이나 게이트웨이(106)로부터 이 지시 신호를 수신할 수 있다. 이동국(414)은 이동국(414)이 AR-RS(406)에 접속되었을 때 AK(610)를 얻기 위해 IEEE 802.1X 전인증(206)을 이미 수행했기 때문에, 기지국(400)과 이동국(414)이 이 프로세스를 다시 수행할 필요가 없다. 이와 같이, 기지국(400)은 AK(610), 선택적으로 TEK(616)를 포함하는 비요구 키 사전 분배 신호(802)를 AR-RS(407)로 전송함으로써, AR-RS(407)에게 이동국(414)을 추가로 인증하고 이동국과 안전하게 통신할 수 있는 자격을 부여한다. 이는 신호 메시지를 전송하는 이동국(414)과 키 요구를 전송하는 AR-RS(407)의 앞이나 그곳에서 발생할 수 있다. 그 후, 이동국(414)이 레인징 리퀘스트(602)를 전송할 때, AR-RS(407)는 이미 AK(610)를 보유하며 간단히 MAC 점검(804)을 수행하여 이동국(414)에 의해 보유된 키를 검증함으로써 이동국(414)의 동일성을 검증한다. 그 후, AR-RS(407)는 HMAC 또는 CMAC를 포함하는 레인징 리스폰스(806)을 전송할 수 있다.
도 8에 도시된 바와 같은 예시적인 실시예에서, 현재 AR-RS와 타겟 AR-RS 간의 핸드오프는 IEEE 802.1X 전인증(206) 뿐만 아니라 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216)의 제거를 통해 개선된 효율을 갖는다. SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216)는 이들 사전 인증된 이동국을 위한 TEK를 AR-RS에 제공함으로써 사전 인증된 이동국을 위해 제거될 수 있다. 구체적으로, 일 실시예에서 타겟 AR-RS는 이동국(414)과의 전송을 위한 TEK를 사전에 형성한 현재 AR-RS로부터 TEK를 수신할 수 있고, 다른 실시예에서 타겟 AR-RS는 이동국과의 직접 전송을 통해 기지국을 사전에 형성하거나 이전 AR-RS로부터 TEK를 수신한 기지국으로부터 TEK를 수신할 수 있다. 따라서, 도 8에 도시된 바와 같이, 기지국(400)은 비요구 키 분배(802)의 부분을 통해 또는 별도의 전송을 통해 AR-RS(407)로 TEK(616)를 전송할 수 있다. 이와 달리, AR-RS(407)는 AR-RS(407)로부터 TEK(616)를 수신할 수 있다. AR-RS(407)가 TEK(616)를 보유하는 경우, AR-RS(407)는 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216)를 스킵함으로써 AR-RS(407)로부터의 핸드오프 효율을 향상시킬 수 있다. AR-RS(407)가 AR-RS(407), 기지국(400)에서 TEK를 획득하거나 또는 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216)를 통해 새로운 TEK 자체를 생성함으로서 TEK를 획득한 후, AR-RS는 이동국(414)과의 보안 통신을 제공할 수 있으며, 이때 데이터는 TEK를 이용하여 암호화된다.
도 9는 타겟 AR-RS가 온-디맨드 키 분배를 통해 AK를 수신하는 경우, 동일 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시한 신호 전달도이다. 도 9에 도시된 바와 같이, 이동국(414)은 AR-RS(407)에 레인징 리퀘스트(602)와 같은 신호 메시지를 전송하고, 키 요구(704)를 수신한 기지국(400)은 이동국(414)의 적격을 검증한다. 이동국(414)은 AK(610)를 얻기 위해 IEEE 802.1X 전인증(206)을 이미 수행했기 때문에, 기지국(400)과 이동국(414)이 이 프로세스를 다시 수행할 필요가 없다. 이와 같이, 기지국(400)은 AK(610), 선택적으로 TEK(616)를 포함하는 키 리스폰스(612)를 AR-RS(407)로 전송함으로써, AR-RS(407)에게 이동국(414)을 인증하고 이동국과 안전하게 통신할 수 있는 자격을 부여한다. 그 후, AR-RS(407)는 간단히 MAC 점검(804)을 수행하여 이동국(414)에 의해 보유된 키를 검증함으로써 이동국(414)의 동일성을 검증한다. 그 후, AR-RS(407)는 HMAC 또는 CMAC를 포함하는 레인징 리스폰스(806)을 이동국(414)으로 전송할 수 있다.
도 8과 연계하여 설명된 바와 같이, AR-RS(407)기지국(400)에서 TEK(616)를 수신하거나 대안으로서 AR-RS(406)로부터 TEK(616)를 수신했다면, AR-RS(407)은 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216)를 스킵함으로써 AR-RS(407)로부터의 핸드오프 효율을 향상시킬 수 있다.
도 10은 타겟 AR-RS가 현재 핸드오프된 이동국에 대응하는 AK를 갖는 경우, 동일 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시한 신호 전달도이다. 예컨대 이동국(414)이 도 6에 도시된 바와 같이 AR-RS(406)를 이요하여 인증하고 AR-RS(406)의 커버리지 영역을 떠나 AR-RS(407)의 커버리지 영역으로 진입한 후 AR-RS(406)의 커버리지 영역으로 복귀한다면, AR-RS(406)는 여전히 그 메모리(예컨대 메모리(546), ROM(544), RAM(542) 또는 데이터베이스(548))에 AK(610)를 보유할 수 있다. 따라서 이동국(414)이 AK(610)에 대응하는 인증 키 식별(AKID: authentication key identication)을 포함하는 레인징 리 퀘스트(1002)와 같은 신호 메시지를 전송할 때, AR-RS(406)는 기지국(400)으로 AKID 검증 요구(AKID Verify request)(1004)를 전송하여 이동국(414)의 위치를 검증한다.
AKID 검증 요구(1004)를 수신한 기지국(400)은 이동국(414)의 위치를 검증한다. 이동국(414)은 AK(610)을 획득하기 위해 IEEE 802.1X 전인증(206)을 이미 수행했기 때문에, 기지국(400)과 이동국(414)이 이 프로세스를 다시 수행할 필요가 없다. 이와 같이, AR-RS(406)가 AK(610)을 보유하는 경우, 기지국(400)은 AK(610)을 포함하는 키 리스폰스(1006)를 AR-RS(407)로 전송함으로써, AR-RS(407)에게 이동국(414)을 인증하고 이동국과 안전하게 통신할 수 있는 자격을 부여한다. AR-RS(406)가 AK(610)을 보유하지 않거나 AR-RS(406)가 적정 AK(610)을 보유했음을 확인할 필요가 있는 경우, AR-RS(406)는 기지국(400)으로부터 키 리스폰스(1006)를 수신한 후 RNG 리스폰스(RNS Response)(606)를 전송할 수 있다.
레인징 리퀘스트(1008)를 수신한 이동국(414)은 도 7과 연계하여 상술한 바와 같이 EE 802.1X 전인증을 시작하기 위해 확장 인증 프로토콜을 개시하고자 시도할 수 있다. 상술한 바와 같이, AR-RS(407)는 이미 AK(610)를 갖고 있기 때문에, AR-RS(407)는 IEEE 802.1X 인증을 실제로 수행하지 않고도 확장 인증 프로토콜 완료 메시지를 이동국(414)으로 전송할 수 있다.
AR-RS(407)가 AK(610)를 가질 때, AR-RS(407)는 데이터 전송을 준비하기 위해 이동국(414)과의 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216) 중 하나 또는 이들 모두를 수행할 수 있다. 도 10에 도시된 바와 같이, AR-RS(407)는 이동국(120)이 인증된 후 AR-RS(407)와 이동국(120) 사이에서 전송된 데이터를 암호화하기 위해 새로운 TEK(1010)를 생성할 수 있다. 상술한 바와 같이, AR-RS(406)가 이미 TEK(616)를 갖고 있다면, AR-RS(406)는 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216)를 스킵함으로써 AR-RS(407)로부터의 핸드오프 효율을 향상시키고 AR-RS(406)과 이동국(414) 간의 보안 통신을 구축할 수 있다.
도 11은 타겟 AR-RS가 현재 핸드오프된 이동국에 대응하는 AK를 갖는 경우, 동일 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시한 신호 전달도이다. 이런 개선된 효율의 핸드오프에서, 이동국(414)이 레인징 리퀘스트(602)를 전송할 때, AR-RS(406)는 이미 AK(610)를 보유하며 간단히 MAC 점검(804)을 수행하여 이동국(414)에 의해 보유된 키를 검증함으로써 이동국(414)의 동일성을 검증한다. 그 후, AR-RS(406)는 HMAC 또는 CMAC를 포함하는 레인징 리스폰스(806)을 전송할 수 있다.
도 12는 타겟 AR-RS가 현재 핸드오프된 이동국에 대응하지 않는 AK를 갖는 경우, 동일 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시한 신호 전달도이다. 예컨대, AR-RS(408)이 그 메모리(예컨대 메모리(546), ROM(544), RAM(542) 또는 데이터베이스(548))에 저장되는 것으로 이동국(414)에 대응하는 AK(610)이 아닌 이동국(414) 이외의 이동국에 대응하는 AK(1202)를 보유할 때, 이동국(414)은 AR-RS(408)의 커버리지 영역으로 진입할 수 있다. 따라서, AR-RS(407)가 이동국(414)의 위치를 확인하기 위해 기지국(400)으 로 AKID 검증 요구(1004)를 전송할 때, 기지국(400)은 이동국(414)에 대응하는 적정한 AK, 즉 AK(610)로 응답한다.
레인징 리퀘스트(1008)를 수신한 이동국(414)은 도 7과 연계하여 상술한 바와 같이 EE 802.1X 전인증을 시작하기 위해 확장 인증 프로토콜을 개시하고자 시도할 수 있다. 상술한 바와 같이, AR-RS(408)는 현재 AK(610)를 갖고 있기 때문에, AR-RS(408)는 IEEE 802.1X 인증을 실제로 수행하지 않고도 확장 인증 프로토콜 완료 메시지를 이동국(414)으로 전송할 수 있다.
AR-RS(408)가 AK(610)를 가질 때, AR-RS(408)는 데이터 전송을 준비하기 위해 이동국(414)과의 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216) 중 하나 또는 이들 모두를 수행할 수 있다. 도 10에 도시된 바와 같이, AR-RS(408)는 이동국(120)이 인증된 후 AR-RS(408)와 이동국(120) 사이에서 전송된 데이터를 암호화하기 위해 TEK(1204)와 같은 새로운 트래픽 키를 생성할 수 있다.
도 13은 타겟 AR-RS가 현재 핸드오프된 이동국에 대응하지 않는 AK를 갖는 경우, 동일 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시한 신호 전달도이다. 이동국(414)이 레인징 리퀘스트(602)와 같은 신호 메시지를 전송할 때, AR-RS(408)는 AK(1202)를 보유하며, AR-RS(408)이 MAC 점검(804)을 수행하여 이동국(414)에 의해 보유된 키를 검증함으로써 이동국(414)의 동일성을 검증할 때, MAC 점검은 비성공적이다. AR-RS(408)가 이동국(414)의 위치를 확인하기 위해 기지국(400)으로 AKID 검증 요구(1004)를 전송할 때, 기지국(400)은 이적정한 AK, 즉 AK(610)로 응답한다. 그 후, AR-RS(408)는 HMAC 또는 CMAC를 포함하는 레인징 리스폰스(806)을 전송할 수 있다. AR-RS(408)가 이미 TEK(616)를 갖고 있다면, AR-RS(408)는 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216)를 스킵할 수 있다.
도 7 내지 도 13은 동일 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 예시적인 이동국 핸드오프를 도시한다. 비록 도 12 및 도 13과 연계하여 설명한 사안은 이동국의 콘텍스트, 즉 AR-RS(408)에서 설명했지만, 기술분야의 당업자라면 도 12 및 도 13에 도시된 현재 AR-RS 또는 타겟 AR-RS이 고정된 중계국일 수 있음을 이해할 수 있을 것이다. 또한, 기술분야의 당업자라면 도 7 내지 도 11과 연계하여 설명된 각각의 사안에서 현재 AR-RS 또는 타겟 AR-RS이 AR-RS(408)과 같은 이동 중계국일 수 있음을 이해할 수 있을 것이다.
또한, 기술분야의 당업자라면 도 7 내지 도 13과 연계하여 설명된 각각의 사안에서 기지국(400)이 AR-RS(406 내지 409)로 AK(610)를 전송하는 대신 중계국으로 다른 보안 자료를 전송할 수 있음을 이해할 수 있을 것이다. 예컨대, 기지국(400)은 AK(610)를 이용하여 MACK(618)와 같은 검증 키와 TEK(616)와 같은 트래픽 키를 생성할 수 있고 AK(610)를 전송하는 대신 중계국(407)으로 검증 키와 트래픽 키를 사전 분배할 수 있다.
마찬가지로, 키 요구(704)를 수신한 기지국(400)은 AK(610)를 이용하여 MACK(618)와 같은 검증 키를 생성하여 MAC 점검(MAC Check, 804) 시의 사용을 위해 키 리스폰스(612)에서 AR-RS(407)로 MACK를 전송할 수 있다. 또한, AR-RS(406)가 그 메모리(예컨대 메모리(546), ROM(544), RAM(542) 또는 데이터베이스(548))에 이 동국(414)에 대응하는 MACK(618)를 이미 갖고 있다면, 레인징 리퀘스트(602)와 같은 신호 메시지를 수신한 AR-RS(406)는 MAC 점검(804)을 수행할 수 있으며, 중계국(406)이 그 메모리에 잘못된 MACK(1206)를 갖고 있다면, 레인징 리퀘스트(602)와 같은 신호 메시지를 수신한 AR-RS(408)는 AKID 검증 요구(1004)를 전송할 수 있고 기지국(400)으로부터의 키 트랜스퍼(key transfer)(1008)에서 MACK(618)를 수신할 수 있다.
AR-RS(405 내지 409)는 MAC 점검(804)의 일부로서 이동국의 동일성을 검증하거나 인증하기 위해 MACK(618)를 이용할 수 있다. 이동국(414)과 AR-RS(405 내지 409)는 페이로드 내부의 MAC 또는 MAC 패킷의 데이터 요소를 점검하여 서로 인증하거나, 다시 말해 서로를 식별할 수 있다.
Ⅲ. 기지국간(inter-base station) 핸드오프
도 14는 서로 다른 기지국에 접속되는 현재 AR-RS 및 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다. 초기화 프로세스(1400)는 네트워크 서비스를 요구하는 이동국이 안전한 메시지 전송을 위해 네트워크(300)에 액세스하여 이동국 및 AR-RS 간의 보안 연계를 제공하도록 인증되는 것을 보장하기 위해 이용된다. 예컨대, 프로세스(1400)는 이동국이 AR-RS(408)로부터 타겟 AR-RS(1404)에 의해 중계되는 타겟 기지국(1402)에 의해 제공되는 커버리지 영역으로 이동된 직후 이동국(414)을 인가하고 인증하기 위해 이용될 수 있다. AK(610)은 현재 이동국(414)에 저장되는 반면, 타겟 기지국(1402)과 타겟 AR-RS(1404)는 그들 각각의 메모리에 저장되는 AK(1406)를 갖는다. 도 14에 도시된 바와 같이, 타겟 기지국(1402)은 이동국(414)이 핸드오프된 AR-RS(408)과 동일한 게이트웨이에 접속되지만, 타겟 기지국(1402)이 AR-RS(408)이 아닌 다른 게이트웨이에 접속될 경우 초기화 프로세스(1400)는 변경되지 않을 것이다.
이동국(414)은 인증 키 식별을 포함하는 레인징 리퀘스트(1002)와 같은 신호 메시지를 타겟 AR-RS(1404)으로 전송하여 이동국(414)이 타겟 AR-RS(1404)의 구간 내에 있음을 지시한다. 타겟 AR-RS(1404)는 인증 키 식별을 포함하는 이동국 인증 요구(1407)를 타겟 기지국(1402)으로 전송한다. 타겟 기지국(1402)은 이동국 인증 요구(1407)를 수신하지만 타겟 기지국(1402)은 AK(610)을 인지하지 않기 때문에 이동국(414)을 검증할 수 없다. 따라서 타겟 기지국(1402)은 이동국(414)으로 레인징 리스폰스(1409)를 전송할 수 있는 타겟 AR-RS(1404)으로 인증 실패 응답(authentication failure response)(1408)을 전송할 수 있다. 그 후, 타겟 기지국(1402)은 이동국(414)이 IEEE 802.1X 전인증(206)을 이용하여 AAA 서버(104)로 인증할 것을 요구한다. IEEE 802.1X 전인증(206)의 결과, 게이트웨이(106)는 PMK(1410)를 이동국(120)으로 분배한다. 또한, 게이트웨이(106)는 AK 트랜스퍼(AK Transfer, 612)를 거쳐 타겟 기지국(1402)으로 AK(1402)를 전송한다. 이동국(414)은 PMK(1410)에 독립해서 AK(610)를 산출한다.
예시적인 일 실시예에서, 타겟 AR-RS(1404)가 이동국(414)과의 네트워크 접속에 대한 보안 연계를 제공하기 위해 추가적인 인증 단계를 수행할 수 있도록 허용하기 위해, 기지국(400)은 AK(1412)를 포함하는 키 리스폰스(614)를 타겟 AR-RS(1404)로 전송한다. 타겟 AR-RS(1404)가 AK(1412)를 가질 때, 타겟 AR-RS(1404) 는 이동국(414)과의 네트워크 접속에 대한 추가적인 보안을 제공하기 위해 이동국(414)과의 SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216) 중 하나 또는 이들 모두를 수행할 수 있다. TEK 3-웨이 핸드쉐이크(216) 동안, AR-RS(1404)는 KEK(1416)를 이용하여 암호화된 TEK(1414)와 같은 트래픽 키를 이동국(414)으로 전송한다. TEK(1414)는 타겟 AR-RS(1404)에 의해 무작위적으로 생성될 수 있다.
도 14는 서로 다른 기지국에 접속된 현재 AR-RS와 타겟 AR-RS 간의 이동국 핸드오프의 일례를 도시한다. 기술분야의 당업자라면 현재 AR-RS 또는 타겟 AR-RS이 AR-RS(408)과 같은 이동 중계국일 수 있음을 이해할 수 있을 것이다.
또한 기술분야의 당업자라면 도 14와 연계하여 설명된 사안에서 기지국(400)이 AR-RS(406 내지 409)로 AK(610)를 전송하는 대신 중계국으로 다른 보안 자료를 전송할 수 있음을 이해할 수 있을 것이다. 예컨대, AR-RS(1412)를 수신한 기지국(1402)은 AK(610)을 이용하여 MACK(618)와 같은 검증 키를 생성할 수 있고 AK(1412)를 전송하는 대신 AR-RS(1404)로 검증 키를 전송할 수 있다.
Ⅳ. 이동 중계국 핸드오프
비록 위에서 설명한 초기화와 핸드오프를 위한 프로세스도 이동 중계국에 적용되지만, 이동 중계국과 이동 중계국으로부터 네트워크에 접속하는 이동국도 AR-RS(구체적으로, 이동 중계국)이 변경되지 않는 기지국에서의 변경을 위해 준비되어야 한다.
도 15는 현재 기지국과 타겟 기지국 간의 이동 중계국 핸드오프의 일례를 도 시한 신호 전달도이다. 도 15에서, 이동 중계국 AR-RS(408)는 AR-RS(408)가 타겟 기지국(1502)을 위한 커버리지 영역으로 이동했거나 이동하려 할 때 타겟 기지국(1502)과 연계될 수 있다. 이동국(416, 418)은 AR-RS(408)와 접속되며 AR-RS(408)와의 접속은 바람직하게는 타겟 기지국(1502)에 대한 전이를 거쳐 유지된다. 이동국(416, 418)의 AK를 갱신하기 위해, AR-RS(408)는 기지국(1502)에 대해 AR-RS(408)가 타겟 기지국(1502)을 위한 커버리지 영역 내에 있거나 이에 액세스하고 있음을 지시하는 레인징 리퀘스트(1504)를 타겟 기지국(1502)을 전송할 수 있다. 레인징 리퀘스트(1504)를 수신한 AR-RS(408)는 게이트웨이(106)와 AAA 서버(104)와의 IEEE 802.1X 인증(206), SA-TEK 3-웨이 핸드쉐이크(214) 및 TEK 3-웨이 핸드쉐이크(216) 중 하나 이상을 수행한다. 이와 같이, AR-RS(408)는 AK를 수신해서 이동국 인증과 유사한 방식으로 인증될 수 있다. 게이트웨이(106)는 AK 트랜스퍼(1506)에서 이동 중계국을 위한 AK를 전송할 수 있다.
AR-RS(408)는 이동국(416, 418)으로 재-인증 트리거 메시지(re-authentication trigger message)(1508)를 전송한다. 재-인증 트리거 메시지(1508)를 수신한 이동국(416, 418)은 게이트웨이(106)와 AAA 서버(104)와의 IEEE 802.1X 전인증(206)을 수행한다. 게이트웨이(106)는 타겟 기지국(1502)을 위해 게이트웨이의 기존 PMK로부터 얻어진 새로운 AK를 산출할 수 있다. 게이트웨이(106)는 AK 트랜스퍼(1510)에서 AR-RS(408)에 연계된 이동 중계국을 위한 모든 AK를 전송하며, AR-RS(408)에 접속되는 모든 이동국의 모든 매개변수(예컨대 AK)가 한 번에 전송되는 터널 모드(tunnel mode)로 전송될 수 있다. 터널 모드에서는, 두 노 드, 예컨대 AR-RS(408)과 게이트웨이(106) 간의 논리적 접속이 지정되고, 중간 노드(예컨대 타겟 기지국(1502))는 터널 패킷을 처리하기 보다 이들 패킷을 포워딩한다. 그 후, 이동국(416, 418)은 타겟 기지국(1502)과의 SA-TEK 3-웨이 핸드쉐이크(214)를 수행한다. 타겟 기지국(1502)은 TEK 전송(1512)에서 각각의 이동국(416, 418)을 위한 AK와 트래픽 키를 AR-RS(408)로 전송하게 되고 터널 모드를 이용하여 전송할 수 있다. 일 실시예에서, AK는 이동국(416, 418)에 대한 서비스 단절을 방지하기 위해 기지국간 핸드오프에 앞서 기지국(1502)과 이동국(416, 418)에서 수신된다.
기술분야의 당업자라면, 비록 도 15가 게이트웨이(106)를 거쳐 네트워크 및 AAA 서버(104)와 통신하는 타겟 기지국(1502)을 도시하지만, 타겟 기지국(1502)은 도 15에서 설명된 것과 동일한 처리를 이용하여 게이트웨이(108) 또는 다른 게이트웨이를 거쳐 네트워크 및 AAA 서버(104)와 통신할 수도 있음을 이해할 수 있을 것이다.
도 16은 타겟 기지국(1600)이 다른 게이트웨이, 즉 게이트웨이(1602)와 통신하고 AR-RS(408)가 AK를 수신하고 이동국(416, 418)을 위한 인증자로 작용할 수 있는 경우 현재 기지국과 타겟 기지국 간의 이동 중계국 핸드오프의 일례를 도시한 신호 전달도이다. 이동국(416, 418)의 AK를 갱신하기 위해, AR-RS(408)는 기지국(1600)에 대해 AR-RS(408)가 타겟 기지국(1600)을 위한 커버리지 영역 내에 있거나 이에 액세스하고 있음을 지시하는 레인징 리퀘스트(1504)를 타겟 기지국(1600)으로 전송할 수 있다. AR-RS(408)가 게이트웨이(1602)와 IEEE 802.1X 인증(206)을 수행한 후, 게이트웨이(1602)는 AK 트랜스퍼(1606)에서 이동 중계국을 위한 AK를 전송할 수 있다. 또한, AR-RS(408)는 예컨대 터널 패킷의 추가적인 데이터 전송을 위한 트래픽 키를 얻기 위해 또는 이동국 메시지를 중계하기 위해 SA-TEK 3-웨이 핸드쉐이크(214)를 수행할 수 있다.
AR-RS(408)는 이동국(416, 418)으로 재-인증 트리거 메시지(1508)를 전송한다. 재-인증 트리거 메시지(1508)를 수신한 이동국(416, 418)은 게이트웨이(1602)와 AAA 서버(104)와의 IEEE 802.1X 인증을 수행한다. 게이트웨이(1602)는 각각의 이동국(416, 418)을 위해 새로운 AK를 산출해서 AK 트랜스퍼(1608)에서 AR-RS(408)에 연계된 이동 중계국을 위한 모든 AK를 AR-RS(408)로 전송한다. 일 실시예에서, AR-RS(408)는 AR-RS로서 작동하고 이동국을 직접 인증하는 능력을 갖는다. 게이트웨이(1602)는 이동국(416, 418)에 대응하는 AK를 터널 모드로 전송할 수 있다. 그 후, 이동국(416, 418)은 AR-RS(408)와의 SA-TEK 3-웨이 핸드쉐이크(214)를 수행한다. AR-RS(408)는 SA-TEK 3-웨이 트랜스퍼를 이용하여 AR-RS(408)로 각각의 이동국을 위한 트래픽 키를 제공하게 된다. 이와 달리, AR-RS(408)가 다른 AR-RS로부터 또는 타겟 기지국(1602)으로부터 트래픽 키를 수신한 경우, AR-RS(408)는 선택적으로 이동국(416, 418)을 위한 새로운 트래픽 키를 생성하는 것을 방지한다.
도 17은 기지국들이 동일한 게이트웨이에 접속된 경우, 현재 기지국과 타겟 기지국 간의 이동 중계국 핸드오프의 일례를 도시한 신호 전달도이다. 도 17에서, AR-RS(408)는 기지국(1502)(도 15)을 위한 커버리지 영역에서 타겟 기지국(1702)을 위한 커버리지 영역으로 이동했거나 이동할 것이다. 타겟 기지국(1702)은 동일한 게이트웨이(106)에 의해 현재 기지국(1502)으로 작용된다. AR-RS(408)는 기지국(1702)에 대해 AR-RS(408)가 타겟 기지국(1702)을 위한 커버리지 영역 내에 있거나 이에 액세스하고 있음을 지시하는 레인징 리퀘스트(1504)를 타겟 기지국(1702)으로 전송한다. AR-RS(408)는 게이트웨이(106)와 인증을 해야 하며 SA-TEK 3-웨이 핸드쉐이크(214)와 같은 인증 프로토콜을 수행해야 한다. AR-RS(408)가 인증된 후, 게이트웨이(106)는 AK 트랜스퍼(1706)에서 AR-RS(408)로 이동국(416, 418)을 위한 AK를 전송한다. 복수의 AK가 게이트웨이(106)에서 AR-RS(408)로 전송되고 있을 때, 게이트웨이(106)는 AK 트랜스퍼(1706)에서 터널 모드에 의해 AK를 전송할 수 있다. AR-RS(408)는 이동국(416, 418)에 재-인증 트리거 메시지(1508)를 전송한다. 재-인증 트리거 메시지(1508)를 수신한 이동국(416, 418)은 그들 각각의 AK를 갱신하기 위해 AR-RS(408)와의 SA-TEK 3-웨이 핸드쉐이크(214)를 수행하고 그들 각각의 트래픽 키를 갱신하거나 갱신하지 않고 수행할 수 있다. 일 실시예에서, AK는 이동국(416, 418)에 대한 서비스 단절을 방지하기 위해 기지국내 핸드오프에 앞서 AR-RS(408)에서 수신된다.
도 18은 기지국들이 동일한 게이트웨이에 접속된 경우, 현재 기지국과 타겟 기지국 간의 이동 중계국 핸드오프의 일례를 도시한 신호 전달도이다. 도 18에서, AR-RS(408)는 기지국(1502)을 위한 커버리지 영역에서 타겟 기지국(1702)을 위한 커버리지 영역으로 이동했거나 이동할 것이다. AR-RS(408)는 기지국(1702)에 대해 AR-RS(408)가 타겟 기지국(1702)을 위한 커버리지 영역 내에 있거나 이에 액세스하고 있음을 지시하는 레인징 리퀘스트(1504)를 타겟 기지국(1702)으로 전송한다. 레인징 리퀘스트(1504)를 수신한 타겟 기지국(1702)은 AR-RS(408)로 각각의 이동국(416, 418)을 위한 AK를 전송한다. 이는 게이트웨이(106) 내에서 기지국(1502)과 사전에 인증을 함으로 인해 이동국(416, 418)을 위한 AK에 액세스했기 때문에 가능하다. 복수의 AK가 타겟 기지국(1502)에서 AR-RS(408)로 전송되기 시작할 때, 타겟 기지국(1502)은 AK 트랜스퍼(1802)에서 터널 모드에 의해 AK를 전송할 수 있다. AR-RS(408)는 이동국(416, 418)으로 재-인증 트리거 메시지(1508)를 전송한다. 재-인증 트리거 메시지(1508)를 수신한 이동국(416, 418)은 그들 각각의 AK를 갱신하기 위해 AR-RS(408)와의 SA-TEK 3-웨이 핸드쉐이크(214)를 수행하고 그들 각각의 트래픽 키를 갱신하거나 갱신하지 않고 수행할 수 있다. 일 실시예에서, AK는 이동국(416, 418)에 대한 서비스 단절을 방지하기 위해 기지국내 핸드오프에 앞서 AR-RS(408)에서 수신된다.
또한, 기술분야의 당업자라면 도 15 내지 도 18과 연계하여 설명된 사안에서 게이트웨이(106)는 타겟 기지국(1502)으로 AK를 전송하는 대신 예컨대 AR-RS(408)에 대응하는 검증 키와 같은 다른 보안 자료를 전송할 수 있음을 이해할 수 있을 것이다. 마찬가지로, 타겟 기지국(1502)은 AR-RS(408)로 이동국(416, 418)을 위한 AK를 전송하는 대신 예컨대 이동국(416, 418)에 대응하는 검증 키와 같은 다른 보안 자료를 전송할 수 있다.
Ⅵ. 결론
본 명세서에 개시된 시스템과 방법은 디지털 전자회로 또는 컴퓨터 하드웨어, 펌웨어, 소프트웨어 또는 이들의 조합으로 실행될 수 있다. 본 발명을 구현하 는 장치는 프로그램 가능한 프로세서에 의한 실행을 위해 기계-판독형 저장장치에서 실체적으로 구현되는 컴퓨터 프로그램 제품으로 실행될 수 있다. 본 발명에 따르는 방법 단계들은 입력 데이터에 기초하여 동작하고 출력 데이터를 생성함으로써 본 발명의 기능을 수행하기 위한 명령 프로그램을 실행하는 프로그램 가능한 프로세서에 의해 수행될 수 있다. 본 발명에 따르는 실시예들은, 저장 시스템, 적어도 하나의 입력 디바이스 및 적어도 하나의 출력 디바이스 각각에 대한 데이터의 송수신을 하도록 결합되는 적어도 하나의 프로그램 가능한 프로세서를 포함하는 프로그램 가능한 시스템으로 실행 가능한 하나 또는 여러 개의 컴퓨터 프로그램으로 실행될 수 있다. 컴퓨터 프로그램은 하이-레벨 또는 객체 지향 프로그래밍 언어 및/또는 어셈블리 또는 기계 코드로 실행될 수 있다. 언어 또는 코드는 컴파일되거나 해석된 언어이거나 코드일 수 있다. 프로세서들은 일반적이고 특수한 목적의 마이크로프로세서들을 포함할 수 있다. 프로세서는 메모리로부터 명령과 데이터를 수신한다. 컴퓨터 프로그램 명령 및 데이터를 실체적으로 구현하기에 적절한 저장장치는 EPROM, EEPROM 및 플래시 메모리 디바이스와 같이 예컨대 반도체 메모리 디바이스와, 내장용 하드디스크 및 착탈식 디스크와 같은 자기 디스크와, CD-ROM 디스크를 포함하는 모든 형태의 비휘발성 메모리를 포함한다. 상술한 것들은 모두 ASIC(주문형 집적회로)에 의해 보충되거나 합체될 수 있다.
기술분야의 당업자라면 본 발명에 따른 무선통신 시스템에 보안 연계를 구축하기 이한 시스템과 방법에 다양한 개조와 변경이 이루어질 수 있음을 쉽게 이해할 수 있을 것이다. 예컨대, 기술분야의 당업자라면 레인징 리퀘스트와 레인징 리스 폰스는 일종의 신호 메시지이며 다른 신호 메시지도 이용될 수 있음을 이해할 수 있을 것이다. 또한, 기술분야의 당업자라면 트래픽 암호화 키는 일종의 트래픽 키이며 다른 검증 키가 이용될 수 있고 MACK는 일종의 검증 키이고 다른 검증 키가 이용될 수 있음을 이해할 수 있을 것이다. 또한, 기술분야의 당업자라면 기지국과 중계국 간의 통신이 무선이거나 유선일 수 있음을 이해할 수 있을 것이다. 표준과 예들은 단지 예시적으로 간주되어야 할 것이며, 따라스 개시된 실시예들의 진정한 보호범위는 다음 청구항들과 이들의 균등예에 의해 정해진다.
도1은 IEEE 802.16d/802.16e WiMAX 무선 통신 시스템에 사용되는 종래 기술의 무선 통신 시스템의 일례를 도시하는 블럭도이다.
도2는 IEEE 802.16d/802.16e WiMAX 무선 통신 시스템에서 종래 기술의 인증 및 인가의 일례를 도시하는 신호 전달도이다.
도3은 멀티홉 중계 아키텍쳐를 갖는 IEEE 802.16j 무선 통신 시스템에 사용되는 종래 기술의 무선 통신 시스템의 일례를 도시하는 블럭도이다.
도4는 선택된 중계국이 인증자 중계-중계국의 역할을 하는 IEEE 802.16j 무선 통신 시스템에 사용되는 무선 통신 시스템의 일례를 도시하는 블럭도이다.
도5a는 기지국의 구성의 일례를 도시하는 블럭도이다.
도5b는 이동국의 구성의 일례를 도시하는 블럭도이다.
도5c는 중계국 또는 이동 중계국의 구성의 일례를 도시하는 블럭도이다.
도6은 선택된 중계국이 인증자 중계-중계국의 역할을 하는 IEEE 802.16j WiMax 무선 통신 시스템에서 인증 및 인가의 일례를 도시하는 신호 전달도이다.
도7은 타겟 인증자 중계-중계국이 요구된 인증 키를 현재 보유하지 않는 경우, 동일 기지국에 접속되는 현재 인증자 중계-중계국 및 타겟 인증자 중계-중계국 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다.
도8은 타겟 인증자 중계-중계국이 인증 키를 비요구 키 사전 분배를 통해서 수신하는 경우, 동일 기지국에 접속되는 현재 인증자 중계-중계국 및 타겟 인증자 중계-중계국 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다.
도9는 타겟 인증자 중계-중계국이 인증 키를 온-디맨드 키 분배를 통해서 수신하는 경우, 동일 기지국에 접속되는 현재 인증자 중계-중계국 및 타겟 인증자 중계-중계국 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다.
도10은 타겟 인증자 중계-중계국이 핸드오프되는 이동국에 대응하는 인증 키를 현재 갖는 경우, 동일 기지국에 접속되는 현재 인증자 중계-중계국 및 타겟 인증자 중계-중계국 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다.
도11은 타겟 인증자 중계-중계국이 핸드오프되는 이동국에 대응하는 인증 키 AK를 현재 갖는 경우, 동일 기지국에 접속되는 현재 인증자 중계-중계국 및 타겟 인증자 중계-중계국 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다.
도12는 타겟 인증자 중계-중계국이 핸드오프되는 이동국에 대응하지 않는 인증 키를 현재 갖는 경우, 동일 기지국에 접속되는 현재 인증자 중계-중계국 및 타겟 인증자 중계-중계국 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다.
도13은 타겟 인증자 중계-중계국이 핸드오프되는 이동국에 대응하지 않는 인증 키를 현재 갖는 경우, 동일 기지국에 접속되는 현재 인증자 중계-중계국 및 타겟 인증자 중계-중계국 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다.
도14는 서로 다른 기지국에 접속되는 현재 인증자 중계-중계국 및 타겟 인증자 중계-중계국 간의 이동국 핸드오프의 일례를 도시하는 신호 전달도이다.
도15는 현재 기지국 및 타겟 기지국 간의 이동 중계국 핸드오프의 일례를 도시하는 신호 전달도이다.
도16은 타겟 기지국이 다른 게이트웨이와 통신하며 이동 중계국은 인증 키를 수신하고 이동국에 대한 인증자의 역할을 할 수 있는 경우의 현재 기지국 및 타겟 기지국 간의 이동 중계국 핸드오프의 일례를 도시하는 신호 전달도이다.
도17은 기지국들이 동일 게이트웨이에 접속된 경우 현재 기지국 및 타겟 기지국 간의 이동 중계국 핸드오프의 일례를 도시하는 신호 전달도이다.
도18은 기지국들이 동일 게이트웨이에 접속된 경우 현재 기지국 및 타겟 기지국 간의 이동 중계국 핸드오프의 일례를 도시하는 신호 전달도이다.
<도면의 주요 부분에 대한 부호의 설명>
100: 인터넷
104: AAA 서버
500, 520, 540: CPU
502, 522, 542: RAM
504, 524, 544: ROM
506, 526, 546: 저장부
508, 528, 548: 데이터베이스
510, 530, 550: I/O 디바이스
512, 532, 552: 인터페이스
514, 534, 554: 안테나

Claims (80)

  1. 통신 네트워크에서 기지국, 중계국 및 이동국 간에 보안 통신을 제공하는 보안 통신 제공 방법에 있어서,
    중계국이 기지국으로부터 보안 키를 수신하는 단계;
    중계국이 이동국으로부터 신호 메시지를 수신하는 단계; 및
    중계국이 보안 키를 이용하여 이동국을 인증하는 단계를 포함하는 보안 통신 제공 방법.
  2. 제1항에 있어서, 상기 신호 메시지를 수신하는 단계는 레인징 리퀘스트(ranging request)를 수신하는 단계를 포함하는 것인 보안 통신 제공 방법.
  3. 제1항에 있어서, 상기 보안 키를 마스터 키로서 수신하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  4. 제3항에 있어서, 상기 마스터 키를 인증 키(AK: authentication key)로서 수신하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  5. 제1항에 있어서, 상기 보안 키를 검증 키로서 수신하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  6. 제5항에 있어서, 상기 보안 키를 검증 키로서 수신하는 단계는 상기 보안 키를 메시지 인증 코드 키(MACK: message authentication code key)로서 수신하는 단계를 포함하는 것인 보안 통신 제공 방법.
  7. 제1항에 있어서, 상기 이동국에 대응하는 메시지 인증 코드(MAC)를 포함하는 상기 신호 메시지를 수신하는 단계를 추가로 포함하며, 상기 인증하는 단계는 상기 보안 키를 이용하여 MAC를 검증하는 단계를 포함하는 것인 보안 통신 제공 방법.
  8. 제1항에 있어서, 상기 중계국이 이동국과의 보안 연계 신호 프로토콜 및 트래픽 암호화 키(TEK: traffic encryption key) 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  9. 제8항에 있어서, 상기 중계국이 상기 이동국과의 보안 연계 신호 프로토콜 및 TEK 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계는 상기 이동국과의 보안 연계-트래픽 암호화 키(SA-TEK) 3-웨이 핸드쉐이크 및 TEK 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계를 포함하는 것인 보안 통신 제공 방법.
  10. 제1항에 있어서,
    상기 중계국이 트래픽 키를 생성하는 단계; 및
    상기 중계국이 상기 트래픽 키를 이용하여 상기 이동국으로 암호화된 데이터를 전송하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  11. 제1항에 있어서, 상기 중계국이 다른 기지국의 서비스 영역으로 이동하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  12. 제1항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 보안 통신 제공 방법.
  13. 통신 네트워크에서 기지국, 중계국 및 이동국 간에 보안 통신을 제공하는 보안 통신 제공 방법에 있어서,
    상기 중계국이 상기 이동국으로부터 신호 메시지를 수신하는 단계;
    상기 중계국이 신호 메시지를 수신한 다음 상기 기지국으로 보안 키 요구를 전송하는 단계;
    사전 전송된 보안 키 요구에 응답하여 상기 중계국이 상기 기지국으로부터 보안 키를 수신하는 단계; 및
    상기 중계국이 수신된 보안 키를 이용하여 상기 이동국을 인증하는 단계를 포함하는 보안 통신 제공 방법.
  14. 제13항에 있어서, 상기 신호 메시지를 수신하는 단계는 레인징 리퀘스트를 수신하는 단계를 포함하는 것인 보안 통신 제공 방법.
  15. 제13항에 있어서, 상기 보안 키를 마스터 키로서 수신하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  16. 제15항에 있어서, 상기 마스터 키를 인증 키(AK)로서 수신하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  17. 제13항에 있어서, 상기 보안 키를 검증 키로서 수신하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  18. 제17항에 있어서, 상기 보안 키를 검증 키로서 수신하는 단계는 상기 보안 키를 메시지 인증 코드 키(MACK)로서 수신하는 단계를 포함하는 것인 보안 통신 제공 방법.
  19. 제13항에 있어서, 상기 이동국에 대응하는 메시지 인증 코드(MAC)를 포함하는 신호 메시지를 수신하는 단계를 추가로 포함하며, 상기 인증하는 단계는 상기 보안 키를 이용하여 MAC를 검증하는 단계를 포함하는 것인 보안 통신 제공 방법.
  20. 제13항에 있어서, 상기 중계국이 상기 이동국과의 보안 연계 신호 프로토콜 및 트래픽 암호화 키(TEK) 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  21. 제20항에 있어서, 상기 중계국이 상기 이동국과의 보안 연계 신호 프로토콜 및 TEK 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계는 상기 이동국과의 보안 연계-트래픽 암호화 키(SA-TEK) 3-웨이 핸드쉐이크 및 TEK 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계를 포함하는 것인 보안 통신 제공 방법.
  22. 제13항에 있어서, 상기 중계국이 트래픽 키를 생성하는 단계; 및
    상기 중계국이 트래픽 키를 이용하여 상기 이동국으로 암호화된 데이터를 전송하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  23. 제13항에 있어서, 상기 중계국이 다른 기지국의 서비스 영역으로 이동하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  24. 제13항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 보안 통신 제공 방법.
  25. 통신 네트워크에서 타겟 기지국, 이동 중계국 및 적어도 하나의 이동국 간에 보안 통신을 제공하는 보안 통신 제공 방법에 있어서,
    상기 이동 중계국이 적어도 하나의 이동국에 대응하는 메시지 인증 코드(MAC)를 포함하는 신호 메시지를 상기 타겟 기지국으로 전송하는 단계;
    상기 이동 중계국이 상기 타겟 기지국으로부터의 응답 신호 메시지를 수신하는 단계;
    상기 이동 중계국이 상기 타겟 기지국으로부터 적어도 하나의 이동국에 대응하는 적어도 하나의 보안 키를 수신하는 단계; 및
    상기 이동 중계국이 대응하는 보안 키를 이용하여 적어도 하나의 이동국을 인증하는 단계를 포함하는 보안 통신 제공 방법.
  26. 제25항에 있어서, 적어도 하나의 이동국에 대응하는 적어도 하나의 보안 키를 수신하는 단계는 보안 터널 모드로 적어도 하나의 보안 키를 수신하는 단계를 포함하는 것인 보안 통신 제공 방법.
  27. 제25항에 있어서, 상기 인증하는 단계는 IEEE 802.1X 인증을 수행하는 단계를 포함하는 것인 보안 통신 제공 방법.
  28. 제25항에 있어서, 상기 이동 중계국과 타겟 기지국 사이에 보안 연계 신호 프로토콜 및 트래픽 암호화 키(TEK) 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  29. 제28항에 있어서, 상기 중계국이 상기 이동국과의 보안 연계 신호 프로토콜 및 TEK 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계는 상기 이동국과의 보안 연계-트래픽 암호화 키(SA-TEK) 3-웨이 핸드쉐이크 및 TEK 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 단계를 포함하는 것인 보안 통신 제공 방법.
  30. 제25항에 있어서, 상기 적어도 하나의 보안 키를 수신하는 단계는 터널 모드로 적어도 하나의 보안 키를 수신하는 단계를 포함하는 것인 보안 통신 제공 방법.
  31. 제25항에 있어서, 상기 적어도 하나의 보안 키를 수신하는 단계는 인증 키(AK)를 수신하는 단계를 포함하는 것인 보안 통신 제공 방법.
  32. 제25항에 있어서, 상기 보안 키를 검증 키로서 수신하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  33. 제32항에 있어서, 상기 보안 키를 검증 키로서 수신하는 단계는 보안 키를 메시지 인증 코드 키(MACK)로서 수신하는 단계를 포함하는 것인 보안 통신 제공 방법.
  34. 제25항에 있어서, 상기 타겟 기지국과 상기 이동 중계국 간의 통신은 무선 통신인 것인 보안 통신 제공 방법.
  35. 통신 네트워크에서 보안 통신을 제공하기 위한 중계국에 있어서,
    데이터 및 명령을 저장하는 적어도 하나의 메모리; 및
    상기 메모리에 액세스하도록 구성되고 명령을 실행할 때 이동국으로부터 수신된 신호 메시지에 응답하여 기지국으로부터 수신된 보안 키를 이용하여 이동국을 인증하도록 구성되는 적어도 하나의 프로세서를 포함하는 중계국.
  36. 제35항에 있어서, 상기 신호 메시지는 레인징 리퀘스트인 것인 중계국.
  37. 제35항에 있어서, 상기 보안 키는 마스터 키인 것인 중계국.
  38. 제37항에 있어서, 상기 마스터 키는 인증 키(AK)인 것인 중계국.
  39. 제35항에 있어서, 상기 보안 키는 검증 키인 것인 중계국.
  40. 제39항에 있어서, 상기 검증 키는 메시지 인증 코드 키(MACK)인 것인 중계국.
  41. 제35항에 있어서, 상기 신호 메시지는 상기 이동국에 대응하는 메시지 인증 코드(MAC)를 포함하고, 상기 인증은 보안 키를 이용하여 MAC를 검증하는 것을 포함하는 것인 중계국.
  42. 제35항에 있어서, 상기 프로세서는 명령을 수행할 때 상기 이동국과의 보안 연계 신호 프로토콜 및 트래픽 암호화 키(TEK) 3-웨이 핸드쉐이크 중 적어도 하나를 수행하도록 추가로 구성되는 것인 중계국.
  43. 제42항에 있어서, 상기 보안 연계 신호 프로토콜은 보안 연계-트래픽 암호화 키(SA-TEK) 3-웨이 핸드쉐이크인 것인 중계국.
  44. 제35항에 있어서, 상기 프로세서는, 명령을 수행할 때,
    트래픽 키를 생성하며,
    상기 트래픽 키를 이용하여 암호화된 데이터를 상기 이동국으로 전송하도록, 추가로 구성되는 것인 중계국.
  45. 제35항에 있어서, 상기 중계국은 이동 중계국인 것인 중계국.
  46. 제35항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 중계국.
  47. 통신 네트워크에서 보안 통신을 제공하기 위한 중계국에 있어서,
    데이터 및 명령을 저장하는 적어도 하나의 메모리; 및
    상기 메모리에 액세스하도록 구성되고, 또 명령을 실행할 때, 이동국으로부터 신호 메시지를 수신한 다음 기지국으로 보안 키 요구를 전송하고, 사전 전송된 보안 키 요구에 응답하여 기지국으로부터 수신된 보안 키를 이용하여 이동국을 인증하도록 구성되는 적어도 하나의 프로세서를 포함하는 중계국.
  48. 제47항에 있어서, 상기 신호 메시지는 레인징 리퀘스트인 것인 중계국.
  49. 제47항에 있어서, 상기 보안 키는 마스터 키인 것인 중계국.
  50. 제49항에 있어서, 상기 마스터 키는 인증 키(AK)인 것인 중계국.
  51. 제47항에 있어서, 상기 보안 키는 검증 키인 것인 중계국.
  52. 제51항에 있어서, 상기 검증 키는 메시지 인증 코드 키(MACK)인 것인 중계국.
  53. 제47항에 있어서, 상기 신호 메시지는 상기 이동국에 대응하는 메시지 인증 코드(MAC)를 포함하고, 상기 인증은 보안 키를 이용하여 MAC를 검증하는 것을 포함하는 것인 중계국.
  54. 제47항에 있어서, 상기 프로세서는 명령을 수행할 때 상기 이동국과의 보안 연계 신호 프로토콜 및 트래픽 암호화 키(TEK) 3-웨이 핸드쉐이크 중 적어도 하나를 수행하도록 추가로 구성되는 것인 중계국.
  55. 제54항에 있어서, 상기 중계국이 상기 이동국과의 보안 연계 신호 프로토콜 및 TEK 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 것은 상기 이동국과의 보안 연계-트래픽 암호화 키(SA-TEK) 3-웨이 핸드쉐이크 및 TEK 3-웨이 핸드쉐이크 중 적어도 하나를 수행하는 것을 포함하는 것인 중계국.
  56. 제47항에 있어서, 상기 프로세서는, 명령을 수행할 때,
    트래픽 키를 생성하고,
    상기 트래픽 키를 이용하여 암호화된 데이터를 상기 이동국으로 전송시키도록 추가로 구성되는 것인 중계국.
  57. 제47항에 있어서, 상기 중계국은 이동 중계국인 것인 중계국.
  58. 제47항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 중계국.
  59. 통신 네트워크에서 보안 통신을 제공하기 위한 기지국에 있어서,
    데이터 및 명령을 저장하는 적어도 하나의 메모리; 및
    상기 메모리에 액세스하도록 구성되고, 또, 명령을 실행할 때, 기지국의 커버리지 영역으로 진입했다는 지시에 응답하여 인증, 인가 및 계정 서버로부터 수신된 마스터 키를 중계국으로 전송시키도록 구성되는 적어도 하나의 프로세서를 포함하는 기지국.
  60. 제59항에 있어서, 상기 마스터 키는 인증 키(AK)인 것인 기지국.
  61. 제59항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 기지국.
  62. 통신 네트워크에서 보안 통신을 제공하기 위한 기지국에 있어서,
    데이터 및 명령을 저장하는 적어도 하나의 메모리; 및
    상기 메모리에 액세스하도록 구성되고, 또, 명령을 실행할 때, 중계국으로부터 수신된 보안 키 요구에 응답하여 중계국으로 보안 키를 전송하도록 구성되는 적어도 하나의 프로세서를 포함하는 기지국.
  63. 제62항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 기지국.
  64. 통신 네트워크에 대한 액세스를 제공하고, 네트워크를 거쳐 이동국을 인증하며, 적어도 하나의 보안 키를 수신하고, 적어도 하나의 보안 키를 사전 분배하도록 구성되는 기지국; 및
    사전 분배된 적어도 하나의 보안 키를 수신하고 보안 키를 이용하여 안전한 데이터 전송을 인증된 이동국에 제공하기 위한, 기지국과 통신하는, 중계국을 포함하되,
    상기 보안 키는 마스타 키를 포함하는 것인 보안 통신 제공 시스템.
  65. 제64항에 있어서, 상기 마스터 키는 인증 키(AK)인 것인 보안 통신 제공 시스템.
  66. 제64항에 있어서, 상기 보안 키는 검증 키를 추가로 더 포함하고, 상기 검증 키는 메시지 인증 코드 키(MACK)인 것인 보안 통신 제공 시스템.
  67. 제64항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 보안 통신 제공 시스템.
  68. 통신 네트워크에 대한 액세스를 제공하고, 네트워크를 거쳐 이동국을 인증하며, 적어도 하나의 보안 키를 수신하고, 적어도 하나의 보안 키 요구를 수신하며, 보안 키 요구에 응답하여 적어도 하나의 보안 키를 전송하도록 구성되는 기지국; 및
    적어도 하나의 보안 키 요구를 기지국으로 전송하고 보안 키 요구에 응답하여 기지국으로부터 적어도 하나의 보안 키를 수신하고 보안 키를 이용하여 이동국에 안전한 데이터 전송을 제공하기 위한, 기지국과 통신하는, 중계국을 포함하되,
    상기 보안 키는 인증 키(AK) 및 검증 키 중 적어도 하나를 포함하는 것인 보안 통신 제공 시스템.
  69. 제68항에 있어서, 상기 검증 키는 메시지 인증 코드 키(MACK)인 것인 보안 통신 제공 시스템.
  70. 제68항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 보안 통신 제공 시스템.
  71. 통신 네트워크에서 기지국, 중계국 및 이동국 간의 보안 통신을 제공하는 보안 통신 제공 방법에 있어서,
    상기 중계국으로부터 키 요구를 수신하면 키 분배를 수행하여 상기 이동국에 대응하는 검증 키를 중계국으로 분배하는 단계; 및
    상기 중계국이 키 검증을 수행하여 상기 이동국을 식별하는 단계를 포함하는 보안 통신 제공 방법.
  72. 제71항에 있어서, 상기 키 분배를 수행하여 검증 키를 분배하는 단계는 메시지 인증 코드 키(MACK)를 분배하는 단계를 포함하는 것인 보안 통신 제공 방법.
  73. 제71항에 있어서, 상기 이동국이 키 검증을 수행하여 중계국을 식별하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  74. 제71항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 보안 통신 제공 방법.
  75. 통신 네트워크에서 기지국, 중계국 및 이동국 간의 보안 통신을 제공하는 보안 통신 제공 방법에 있어서,
    키 사전 분배를 수행하여 상기 이동국에 대응하는 검증 키를 중계국으로 분배하는 단계; 및
    상기 중계국이 키 검증을 수행하여 상기 이동국을 식별하는 단계를 포함하는 보안 통신 제공 방법.
  76. 제75항에 있어서, 상기 키 분배를 수행하여 검증 키를 분배하는 단계는 메시 지 인증 코드 키(MACK)를 분배하는 단계를 포함하는 것인 보안 통신 제공 방법.
  77. 제75항에 있어서, 상기 이동국이 키 검증을 수행하여 중계국을 식별하는 단계를 추가로 포함하는 보안 통신 제공 방법.
  78. 제75항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 보안 통신 제공 방법.
  79. 통신 네트워크에서 기지국, 중계국 및 이동국 간의 보안 통신을 제공하는 보안 통신 제공 방법에 있어서,
    상기 중계국이 키 검증을 수행하여 상기 이동국을 식별하는 단계; 및
    이동국이 키 검증을 수행하여 중계국을 식별하는 단계를 포함하는 보안 통신 제공 방법.
  80. 제79항에 있어서, 상기 기지국과 상기 중계국 간의 통신은 무선 통신인 것인 보안 통신 제공 방법.
KR1020080087483A 2007-09-04 2008-09-04 통신 시스템에서 보안 연계를 구축하고 핸드오프 인증을 수행하기 위한 방법 및 장치 KR100983796B1 (ko)

Applications Claiming Priority (10)

Application Number Priority Date Filing Date Title
US96977307P 2007-09-04 2007-09-04
US60/969,773 2007-09-04
US98176707P 2007-10-22 2007-10-22
US60/981,767 2007-10-22
US98553807P 2007-11-05 2007-11-05
US60/985,538 2007-11-05
US12/203,652 2008-09-03
US12/203,671 2008-09-03
US12/203,652 US20090271626A1 (en) 2007-09-04 2008-09-03 Methods and devices for establishing security associations in communications systems
US12/203,671 US9313658B2 (en) 2007-09-04 2008-09-03 Methods and devices for establishing security associations and performing handoff authentication in communications systems

Publications (2)

Publication Number Publication Date
KR20090024655A KR20090024655A (ko) 2009-03-09
KR100983796B1 true KR100983796B1 (ko) 2010-09-27

Family

ID=40693444

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080087483A KR100983796B1 (ko) 2007-09-04 2008-09-04 통신 시스템에서 보안 연계를 구축하고 핸드오프 인증을 수행하기 위한 방법 및 장치

Country Status (2)

Country Link
JP (1) JP4875679B2 (ko)
KR (1) KR100983796B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110110289A1 (en) * 2009-11-06 2011-05-12 Muthaiah Venkatachalam Distributed control architecture for relays in broadband wireless networks
US8806042B2 (en) * 2011-02-18 2014-08-12 Telefonaktiebolaget L M Ericsson (Publ) Mobile router in EPS
CN104221431B (zh) 2012-04-09 2018-08-14 日本电气株式会社 基站网关装置、无线通信系统和通信方法
KR102146001B1 (ko) * 2013-03-13 2020-08-20 주식회사 케이티 M2m 단말의 서비스 연속성 회복 방법 및 시스템
EP2930535A1 (en) * 2014-04-08 2015-10-14 The European Union, represented by the European Commission Method and system to optimise the authentication of radionavigation signals
JP7446926B2 (ja) * 2020-06-05 2024-03-11 株式会社東海理化電機製作所 制御装置および制御方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070042243A (ko) * 2005-10-18 2007-04-23 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
KR20070071481A (ko) * 2005-12-30 2007-07-04 엘지전자 주식회사 광대역 무선접속 시스템에서의 중계 스테이션 인증 방법
KR100740863B1 (ko) * 2006-02-28 2007-07-19 포스데이타 주식회사 무선통신 시스템에서 확장된 인증 프로토콜 기반의 인증방법 및 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3854930B2 (ja) * 2003-01-30 2006-12-06 松下電器産業株式会社 一元管理認証装置及び無線端末認証方法
JP4432986B2 (ja) * 2007-03-12 2010-03-17 ブラザー工業株式会社 無線ステーション

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070042243A (ko) * 2005-10-18 2007-04-23 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
KR20070071481A (ko) * 2005-12-30 2007-07-04 엘지전자 주식회사 광대역 무선접속 시스템에서의 중계 스테이션 인증 방법
KR100740863B1 (ko) * 2006-02-28 2007-07-19 포스데이타 주식회사 무선통신 시스템에서 확장된 인증 프로토콜 기반의 인증방법 및 시스템

Also Published As

Publication number Publication date
KR20090024655A (ko) 2009-03-09
JP4875679B2 (ja) 2012-02-15
JP2009171543A (ja) 2009-07-30

Similar Documents

Publication Publication Date Title
US9215589B2 (en) Methods and devices for establishing security associations and performing handoff authentication in communications systems
CN110945892B (zh) 安全实现方法、相关装置以及系统
RU2745719C2 (ru) Реализация функции межсетевого взаимодействия с использованием недоверенной сети
US7451316B2 (en) Method and system for pre-authentication
EP1561331B1 (en) A method for fast, secure 802.11 re-association without additional authentication, accounting, and authorization infrastructure
US8885831B2 (en) Managing user access in a communications network
KR100762644B1 (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
US8423772B2 (en) Multi-hop wireless network system and authentication method thereof
JP5225459B2 (ja) トラフィック暗号化キーの派生方法
CN109076079A (zh) 增强的非接入层安全
KR100755394B1 (ko) Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
US7848513B2 (en) Method for transmitting security context for handover in portable internet system
KR100983796B1 (ko) 통신 시스템에서 보안 연계를 구축하고 핸드오프 인증을 수행하기 위한 방법 및 장치
US20050135624A1 (en) System and method for pre-authentication across wireless local area networks (WLANS)
KR20070034060A (ko) 통신 핸드오버 방법과 통신 메시지 처리 방법, 및 통신제어 방법
EP1741308A1 (en) Improved subscriber authentication for unlicensed mobile access signaling
KR20070051233A (ko) 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
CN100558187C (zh) 一种无线接入方法及接入控制器
CN101437226B (zh) 提供安全通信之方法、提供安全通信之系统、中继站、以及基站
WO2019017839A1 (zh) 数据传输方法、相关设备以及系统
US20100189258A1 (en) Method for distributing an authentication key, corresponding terminal, mobility server and computer programs

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130909

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150904

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160905

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170908

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180904

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190909

Year of fee payment: 10